Fortnite Battle Royale. (Bild: Epic Games)
Vor knapp zwei Wochen hat Epic Games den Startschuss für die Fortnite-Beta für Android gegeben. Die Android-Version des Hitgames wird allerdings nicht über den offiziellen Play-Store zugänglich gemacht. Dadurch entgehen Google bis Jahresende rund 50 Millionen US-Dollar. Google sowie Sicherheitsexperten haben die Entscheidung des Spieleherstellers kritisiert – offenbar nicht zu Unrecht. Das zeigt die schwere Sicherheitslücke im Fortnite-Installer, die ausgerechnet Google entdeckt hat, wie Android-Central berichtet.
Fortnite: Fehler in Android-Installer ermöglichte Hackern Smartphones-Übernahme
Demnach haben die Google-Experten die Lücke in dem Installer für Fortnite Battle Royale schon am 15. August gefunden und Epic Games darüber informiert. Nachdem das Gamestudio die Sicherheitslücke in einer neuen Version des Android-Installers gepatcht hatte, ging Google an die Öffentlichkeit. Im schlimmsten Fall hätten Angreifer über den offenbar schlecht programmierten Installer das Smartphone des Nutzers kapern können – inklusive Zugang zu allen Daten und der Befehlsgewalt über das Gerät.
Fortnite für Android: Installer kam mit schwerer Sicherheitslücke. (Bild: Epic Games)
Laut Android-Central war dafür ein Fehler in dem Fortnite-Installer verantwortlich, der es einer Schadsoftware möglich gemacht hätte, den Installer nach dem Download der Fortnite-APK über sogenanntes Hijacking das Herunterladen beliebiger anderer Anwendungen aufzutragen. Die Gefahr entsteht dabei vor allem über die Popularität von Fortnite. Dadurch dürften Millionen Spieler das Installieren aus einer fremden Quelle bestätigt haben.
Hat der Fortnite-Installer nämlich erst einmal arglos eine Schadsoftware heruntergeladen, kann diese sich sämtliche Rechte zusprechen, ohne dass der Nutzer darüber informiert würde, wie Heise Online schreibt. Eine simple Deaktivierung der Erlaubnis, Software aus unbekannten Quellen zu installieren, reicht nicht aus. Nutzer müssen also in jedem Fall die gefixte Version 2.1.0 aufspielen. Ob die Sicherheitslücke ausgenutzt wurde, ist unklar. Fortnite hat sich bisher zu diesem Thema bedeckt gehalten.
Fortnite-Chef kritisiert Googles Sicherheitsteam
Epic-Games-Chef Tim Sweeney hat allerdings das Google-Team dafür kritisiert, die Details der Sicherheitslücke so kurz nach der Entdeckung preiszugeben. Schließlich seien noch viele Installer nicht upgedatet gewesen. Obwohl Google sicherlich von Epics Play-Store-Boykott nicht begeistert sein dürfte, sind die Sicherheitsexperten aber den öffentlich zugänglichen Richtlinien bei einer sogenannten Zero-Day-Lücke gefolgt. Die besagen, dass in diesem Fall die Öffentlichkeit innerhalb von sieben Tagen informiert werden kann.
Google halt. Du spielst nicht mit bei ihrem Spiel, dann sperren sie dich ohne Begründung und wenn das leider nicht klappt, pinkeln sie dir halt ans Bein wo es nur geht. War doch schon immer so. Das Problem ist, dass das zu wenige, zu spät verstanden haben und wir jetzt das Monopol haben, was einfach macht was es will.
Was denn für ein Monopol? Wurde der Artikel überhaupt korrekt gelesen? Es wurde sich am normalen Prozedere gehalten. Dieser Umgang mit solchen Lücken ist Gang und Gebe.
Und hört mal auf alles intern zu verlinken, wo externe Links zu Tweets, Quellen oder entsprechenden Textstellen erwartet werden. Das nervt mich seit Monaten.